Armageddon APT、別名UAC-0010、ウクライナへの標的型サイバー攻撃でGammaLoadとGammaSteelマルウェアを使用

の発生に伴い 世界的なサイバー戦争、Armageddonサイバースパイグループ、別名 Gamaredon またはUAC-0010の悪意ある活動は、ウクライナの国家機関を標的とするサイバー脅威の領域で脚光を浴びています。このハッカー集団は、フィッシングサイバー攻撃の一連のキャンペーンを開始し、2022年4月や5月のキャンペーンを含め、 GammaLoad.PS1_v2マルウェアを拡散し ました。そして2022年8月10日に、 CERT-UAは新しい警報を発表 し、ウクライナを標的にした進行中のフィッシングサイバー攻撃について、GammaLoadやGammaSteelマルウェアを利用していることをサイバー防御者に警告しました。

Armageddon APT (UAC-0010) 活動: GammaLoadおよびGammaSteelペイロードを拡散する最新キャンペーンの分析

2022年前半、ロシアのウクライナへの全面的な侵攻以来、 Armageddon別名UAC-0010 と追跡されている悪名高きロシア国が支援するAPTグループは、フィッシング攻撃ベクトルを積極的に利用し、ウクライナに対する複数の標的となる悪意あるキャンペーンを開始しています。このハッカー集団は、大規模にHTMドロッパーを配布し、感染チェーンをトリガーして、危険システムにGammaLoad.PS1ペイロードを展開しています。

CERT-UAの警告に掲載されたサイバーセキュリティ研究によると CERT-UA#5134、攻撃者は、定義された拡張子リストに基づいてデータを盗み出すことを目的とし、Webブラウザからユーザー資格情報を取得しようとしています。この微妙なデータにアクセスするために、攻撃者はGammaSteel.PS1およびGammaSteel.NETマルウェアを利用しており、前者は以前に使用されていたHarvesterXインフォスティーラーのPowerShellバージョンです。

最近のキャンペーンでは、Armageddon APTグループは、リモートテンプレートインジェクション攻撃にも依存しており、URLを生成する悪意のあるマクロを介してテンプレートファイルを感染させ、新しく作成された文書に添付ファイルとして追加します。これにより、被害者のコンピューター上で作成されたすべてのファイルが感染し、さらにユーザーが意図せずに配布することになります。

脅威アクターは主にスケジュールされたタスク、実行レジストリ枝、および環境の変更を利用して持続性を達成し、ペイロードを展開するだけでなく、悪意のあるPowerShellスクリプトを実行し、 wscript.exe or mshta.exeのような正当な実行可能ファイルを悪用します。

Armageddon APT ことUAC-0010の悪意ある活動の検出

ロシアに関連するArmageddon APTグループの敵対的活動に起因するフィッシングキャンペーンの増加により、サイバーセキュリティ実務者は、関連するマルウェアの悪意ある存在をタイムリーに特定する新たな方法を模索しています。 SOC PrimeのDetection as Codeプラットフォーム は、関連する悪意のある活動のコンテンツ検索を簡素化するためにグループ識別子「UAC-0010」に基づいてタグ付けされた、 Sigmaルール の精選リストを提供しています。この検出アルゴリズムのコレクションから高精度のアラートとハンティングクエリは、業界をリードするSIEM、EDR、XDR技術に変換可能です。

以下のリンクをクリックすると、SOC PrimeのCyber Threats Search Engineから利用可能な特定の検出スタックへの即時アクセスが得られ、包括的なコンテキスト情報がMITRE ATT&CK®やCTI参照、Sigmaルールにリンクされた実行可能バイナリ、その他の関連メタデータとともに充実しています。

Armageddon APT グループ/UAC-0010の悪意ある活動に積極的に対抗するためのSigmaルール

脅威ハンターおよびサイバー脅威インテリジェンス専門家も、最新の CERT-UAの警告で取り上げられているUAC-0010グループの悪意ある活動に関連する指標（IoC）を検索できます。さらに、チームは Uncoder.CTI を利用して、選択したSIEMまたはXDR環境で実行するための関連するカスタムIOCクエリを生成できます。

Armageddonハッカー集団、別名Gamaredonの悪意ある活動を検出するためのより多くのSigmaルールを取得するには、 検出とハント ボタンをクリックしてください。SOC Primeの非登録ユーザーも、以下の 脅威コンテキストを探索 ボタンをクリックすることで、コンテキストが充実した関連脅威検出への即時アクセスが可能です。

検出＆ハント 脅威コンテキストを探索

MITRE ATT&CK® コンテキスト

Armageddon脅威アクター（UAC-0010）の悪意ある活動に関連するMITRE ATT&CKコンテキストを掘り下げるため、上記検出スタック内のすべてのSigmaルールは MITRE ATT&CK®フレームワーク と整合され、対応する戦術と技術に対処しています。